Como devo integrar o Active Directory com clientes Windows e clientes e servidores Linux?

I have Windows and Linux clients and I want to provide Active Directory authentication for both but keeping DHCP and DNS on Linux servers. Is this possible?

É realmente um PITA para usar servidores Linux para DNS AD, já que AD e DNS são tão integrados. Você pode fazer isso, mas boa sorte em conseguir apoio. O que eu recomendaria é apontar todos os seus clientes e servidores para os servidores DNS do AD para DNS e colocar um encaminhador global em seus servidores DNS do AD para apontar para seus servidores Linux que hospedam o restante de sua infraestrutura. Contanto que o namespace do AD não se sobreponha a um namespace existente (não deveria), isso funcionará bem.

I'm free to choose linux distributions and windows server version as long as it's earlier than 2003

Se eu fosse você, não faria isso com essa restrição. Isso deixa você com o Windows 2000, que não será instalado na maioria dos hardwares modernos (sem drivers, etc.). É também o sentido de fim de vida que não há nenhum tipo de remendos.

O principal problema que você terá é tornar o ActiveDirectory feliz com o DNS, pois o AD usa o DNS para o protocolo de localização do serviço (por meio do tipo de registro SRV). No entanto, o uso de Linux DNS e DHCP (ou seja, o servidor DNS BIND e o daemon dhcpd padrão) em ambientes Microsoft de larga escala é bastante fácil de suportar e há um grande número de clientes Microsoft que insistem em usar os serviços Unix para DNS e DHCP.

Para o DHCP, convém garantir que você esteja passando todas as opções necessárias em seu ambiente. Como as opções variam consideravelmente, deixarei você à mercê do Google, embora haja um ótimo artigo da Microsoft Technet que lhe dará o básico ( link ). Apenas certifique-se de ter o dhcpd configurado para servir os parâmetros mencionados apropriados ao seu ambiente (e um tutorial sobre o dhcpd pode ser encontrado em link )

O DNS é a parte mais importante. Todos os servidores em sua organização devem ter entradas de pesquisa de encaminhamento (registro A) e inverso (registro de registro interno) adequadas. Além disso, cada servidor Windows precisará de várias entradas de serviço (SRV) para informar aos clientes quais serviços podem ser encontrados nesse servidor. Você pode criar entradas de servidor de duas maneiras. A primeira maneira é criá-los manualmente, e você pode encontrar uma discussão bastante boa sobre isso pesquisando "Active Directory BIND DNS" (por exemplo, link e link são as duas primeiras pesquisas).

Existe uma outra maneira, no entanto, que eu recomendo. Antes de configurar os servidores Windows, eu daria a seus endereços IP o direito de escrever e atualizar entradas em seu servidor DNS Linux BIND. Em seguida, ao configurar (ou atualizar) seus servidores Windows, certifique-se de que, no painel de controle de rede avançado, você especifique o sufixo de domínio e marque a caixa para que o servidor tente atualizar sua entrada. Posteriormente, o servidor tentará criar suas próprias entradas no DNS para quaisquer serviços configurados nele. Em teoria, isso é uma falha de segurança, já que você está permitindo que um servidor que pode estar comprometido grave registros DNS arbitrários. Na prática, no entanto, descobrimos que isso torna a manutenção da DA muito mais simples.

Você provavelmente também desejará configurar o DNS Dinâmico (DDNS), que permite que os servidores dhcp transmitam os nomes de host do cliente ao servidor DNS para serem adicionados como entradas de encaminhamento e reversão. Um bom tutorial sobre isso pode ser encontrado no link

Depois de entender os conceitos de DNS e DHCP com os quais você está trabalhando, ter o AD configurado via Linux DNS e DHCP não é difícil e fácil de manter. No geral, porém, eu gostaria que a Microsoft não tivesse preparado a descoberta de serviços para o DNS e usado um protocolo de serviço como o SLP.